LDAP或轻型目录访问协议是一种用于读取目录,文件或设备中的数据的方法。实际上,这是目录访问服务,例如,可用于提供有关尝试登录的用户的信息,而该用户正作为单点登录SSO流程的一部分。那么LDAP有哪些注入漏洞?如何防止?
LDAP的常见用途是提供集中式身份验证,因此,它可用于验证用户以允许访问任何应用程序的受限模块。LDAP的主要工作是从Active Directory(AD)中提取可用格式的信息,该Active Directory是包含大量神秘数据的域控制器。LDAP使用简单的基于字符串的查询从AD中提取信息。
LDAP注入是一个漏洞,其中查询语句是由不正确清理或验证的不可靠输入创建的。这使用特殊字符作为输入参数。这些字符影响可以从AD检索的对象的类型和数量。如果恶意用户可以提交包含那些特殊字符的输入,则他们可以更改查询并更改所需的行为。
提交到服务器的查询称为LDAP搜索过滤器。它们是使用前缀表示法构造的。该表示法发给服务器,如果未正确清理或验证,则可以更改查询的含义并返回AD中的所有用户。诸如“ *”之类的特殊字符也会创建其他恶意查询。可以在易受攻击的服务器上执行许多LDAP注入漏洞。
如何防止LDAP注入:
1.强大的输入验证;
2.使用编码转义输入;
3.严格的目录授权。
以上就是关于LDAP有哪些注入漏洞及如何防止的内容介绍,想了解更多关于LDAP注入漏洞的信息,请继续关注中培教育吧。